Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
überwachen, so verringert sich seine Performance. Dramatische Sicherheitslücken haben<br />
sich dadurch bei Installation von <strong>Firewall</strong>s unter NT <strong>und</strong> auch UNIX ergeben. Hier war z.B.<br />
das Fernwartungs - Interface des Microsoft <strong>Firewall</strong> - PROXY 1.0/<strong>2.0</strong> von außen her<br />
erreichbar. Eine winzige Kleinigkeit hat somit die Funktion der <strong>Firewall</strong> völlig ad absurdum<br />
geführt. Leider passieren solche Fehler sehr häufig. Der Hauptgr<strong>und</strong> liegt wohl darin, daß<br />
man als Systemadministrator bei bestimmten Betriebssystemen wohl schon froh ist, wenn<br />
alles überhaupt läuft....weitere Untersuchungen mit einer Klärung, warum nun z.B.<br />
Windows NT 4.0 SP4 Pakete in andere Netze streut (ISDN Karte, RAS) werden oft nicht<br />
angestellt.<br />
9.7 Regeln <strong>für</strong> die Netzwerkkarten<br />
Nachdem dies schwierige Problem geklärt ist, kann man nun den Datenverkehr zu einer<br />
Netzwerkkarte zulassen:<br />
# Erlaube ein- <strong>und</strong> ausgehenden Verkehr<br />
ipfwadm -I -a accept -W $LOKALES_INTERFACE -S $INTRANET<br />
ipfwadm -O -a accept -W $LOKALES_INTERFACE -D $INTRANET<br />
Dies bedeutet, daß eingehende Pakete "-I" in LOKALES_INTERFACE mit einer beliebigen<br />
Quell IP - Nummer "-S" aus dem Bereich INTRANET akzeptiert werden sollen. Ebenso<br />
sollen ausgehende Pakete "-O" in das Netzwerk INTRANET zugelassen werden.<br />
Mit LOKALES_INTERFACE ist diejenige Netzwerkkarte gemeint, an der sich die zu<br />
schützenden Arbeitsplatz - PCs befinden. Mit INTRANET ist die Netzwerknummer<br />
gemeint, die im Intranet vergeben wird. Netzwerknummern besitzen immer eine 0 (Null)<br />
als letzte Zahl, z.B. 194.245.123.0 Soweit so gut, betrachten wird nun noch einmal<br />
genauer die Dämonen. Wir haben festgestellt, daß sich die meisten Dämonen einfach an<br />
alle Interfaces binden, also auch an LOKALES_INTERFACE. Das bedeutet, daß nun alle<br />
Dämonen über das LOKALES_INTERFACE von außen erreichbar sind.<br />
LOKALES_INTERFACE soll, wie leicht zu erraten ist, diejenige Netzwerkkarte sein, die<br />
mit dem INTRANET verb<strong>und</strong>en ist.<br />
Was nun hervorragend funktioniert, ist der Verkehr zwischen den Arbeitsplatz - PCs <strong>und</strong><br />
der <strong>Firewall</strong> auf dem LOKALES_INTERFACE Netzwerk- Interface.<br />
Darüber hinaus sollten Pakete von einem Host in dem Intranet auch an einen anderen<br />
Host in dem Intranet weitergeleitet werden können, quasi als Gateway.<br />
Und schon wieder ein neuer Begriff, dem wahrscheinlich schon viele einmal begegnet<br />
sind, der jedoch keinem so genau etwas sagt.<br />
Die Angabe eines Gateways auf einem Arbeitsplatz-PC besagt, daß alle ausgehende<br />
Pakete zuerst einmal an das Gateway gehen. Das Gateway kann dann entscheiden, ob<br />
die Pakete z.B. <strong>für</strong> das Internet bestimmt sind, oder ob die Zieladresse vielleicht ein<br />
Server im Intranet ist. Ist das Paket <strong>für</strong> das Internet bestimmt, so leitet es das Paket intern<br />
an die zweite Netzwerkkarte weiter, die es an den Router übergibt, der es an weitere<br />
Router übergibt, bis das Ziel erreicht ist. Damit das Gateway überhaupt entscheiden kann,<br />
muß es zuerst einmal gefragt werden. Ist der Verkehr <strong>für</strong> einen anderen Host im Intranet<br />
bestimmt, so läuft folgende Prozedur ab:<br />
INTRA1 sendet ein Paket mit INTRA2 als Zieladresse an das Gateway....das Gateway<br />
sendet das Paket....<br />
Ooops, wäre das nicht eine völlig Verschwendung von Bandbreite <strong>und</strong> CPU - Zeit in der<br />
<strong>Firewall</strong> ? Wenn der Verkehr von INTRA1 über das Gateway zu INTRA2 laufen würde,<br />
wäre die Aussage korrekt. Dem ist aber nicht so. Das Interface LOKALES_INTERFACE<br />
erkennt, daß Quell - <strong>und</strong> Zieladressen des Paketes von Intra1 innerhalb der<br />
Netzwerkadresse von LOKALES_INTERFACE, also im INTRANET liegen. Die<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins